Autore Topic: Sito web bersaglio hack/spam con joomla 3.8.1  (Letto 349 volte)

Offline hyrion

  • Esploratore
  • **
  • Post: 89
    • Mostra profilo
Sito web bersaglio hack/spam con joomla 3.8.1
« il: 23 Ott 2017, 09:55:03 »
Ciao a tutti, vi sottopongo un problema, ho due siti web joomla aggiornato 3.8.1, pochissime estensioni, anche queste aggiornate. In pratica in 10-15 giorni i siti vengono violati ed iniziano ad inviare spam, io ricarico il backup e dopo un po' l'attività riprende.  Premetto che entrambi i domini erano stati utilizzati per inviare spam a lungo e dopo che me ne sono accorto, avendo vecchie versioni di joomla ho progettato due siti web ex-novo. Presumo che i due domini, essendo dei .com, siano ormai utilizzati dagli hackers/spammer per le loro attività e sfruttino joomla come "porta" sfruttando qualche vulnerabilità, esiste qualcosa per contrastarli?

Online maicolstaip

  • Global Moderator
  • Instancabile
  • ********
  • Post: 17530
  • Sesso: Maschio
    • Mostra profilo
    • https://www.hoteledelweiss.net/
Re:Sito web bersaglio hack/spam con joomla 3.8.1
« Risposta #1 il: 23 Ott 2017, 10:25:59 »
Ciao hyrion,
se hai aggiornato i siti ma ci hai lasciato dentro qualche file malevolo, continueranno a tornare.
Leggi i post in evidenza in questa sezione per vedere come fare per eradicare quei dannati. Non è un compito semplice.
Il fatto che siano .com/.eu/,it non c'entra nulla, è quello che vi è contenuto che conta.

Ciao!
Non si risponde a PM tecnici. Postate sul forum. Grazie.

Offline hyrion

  • Esploratore
  • **
  • Post: 89
    • Mostra profilo
Re:Sito web bersaglio hack/spam con joomla 3.8.1
« Risposta #2 il: 23 Ott 2017, 10:53:28 »
Ciao, no come ho scritto le operazioni sono state
- cancellazione vecchio sito
- creazione nuovo sito pulito ed aggiornato


Problema: i due domini dopo un paio di settimane vengono nuovamente violati, ovviamente carico il backup pulito iniziale e per altri 10/15 giorni rimangono esenti da problemi. La mia ipotesi è che i due domini sono molti importanti per gli hackers e ormai ci lavorano sfruttando ogni minima vulnerabilità di joomla. Che faccio?

Offline tonicopi

  • Global Moderator
  • Instancabile
  • ********
  • Post: 12625
  • Sesso: Maschio
    • Mostra profilo
    • tonicopi su google
Re:Sito web bersaglio hack/spam con joomla 3.8.1
« Risposta #3 il: 23 Ott 2017, 10:54:40 »
Hai messo il captcha nel modulo contatti?

Online danielecr

  • Appassionato
  • ***
  • Post: 487
    • Mostra profilo
Re:Sito web bersaglio hack/spam con joomla 3.8.1
« Risposta #4 il: 23 Ott 2017, 10:58:25 »
Ciao,
non è molto chiaro ciò che succede..tonicopi per esempio credo che abbia capito che lo spam arrivi a te dal modulo contatti, magari invece tu intendi che vengono inviate mail dal tuo server a terze persone.
Cosa intendi per "violato"? E come fai a dire che è stato violato?

Se violato, analizza i log del server per capire da dove sono entrati.

Offline tonicopi

  • Global Moderator
  • Instancabile
  • ********
  • Post: 12625
  • Sesso: Maschio
    • Mostra profilo
    • tonicopi su google
Re:Sito web bersaglio hack/spam con joomla 3.8.1
« Risposta #5 il: 23 Ott 2017, 11:01:11 »
No no, intendo proprio che usano la componente contatti di joomla per inviare email di spam. In un sito me ne hanno inviate duecentomila in un giorno. E' un problema noto: bisogna inserire il captcha. Se non si sta usando il contatto bisogna cancellarlo. Lo usano anche se non pubblicato.  ;)

Offline hyrion

  • Esploratore
  • **
  • Post: 89
    • Mostra profilo
Re:Sito web bersaglio hack/spam con joomla 3.8.1
« Risposta #6 il: 23 Ott 2017, 12:45:50 »
Andiamo con ordine:


- il dominio viene utilizzato come ponte per inviare spam non a me ma a terzi, in pratica presumo usino la funzione php mail
- dai log non è chiaro da dove entrino poichè una volta entrati spargono files malevoli ovunque

Online danielecr

  • Appassionato
  • ***
  • Post: 487
    • Mostra profilo
Re:Sito web bersaglio hack/spam con joomla 3.8.1
« Risposta #7 il: 23 Ott 2017, 13:56:13 »
- il dominio viene utilizzato come ponte per inviare spam non a me ma a terzi, in pratica presumo usino la funzione php mail

Tieni conto che facilmente si riescono ad inviare email con il mittente spoofato e in questo caso non puoi fare nulla (dovresti verificare il messaggio completo della mail e vedere se effettivamente le mail partono dal tuo server o meno).
Nel caso utilizzino il server i log servono proprio a questo: magari c'è uno script da qualche parte e dai log dovresti vederlo.

Offline hyrion

  • Esploratore
  • **
  • Post: 89
    • Mostra profilo
Re:Sito web bersaglio hack/spam con joomla 3.8.1
« Risposta #8 il: 23 Ott 2017, 16:46:11 »
Il problema è che è proprio il mio fornitore di hosting che è costretto periodicamente a sospendere i domini causa invio di spam e presenza a quanto scrivono loro "di attività malevola"

Online tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 27922
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
    • Xataface Italia
Re:Sito web bersaglio hack/spam con joomla 3.8.1
« Risposta #9 il: 23 Ott 2017, 16:47:58 »
Allora il punto debole può essere proprio il server.
NEWS DataGrill Xataface Installer (Ver. 1.0.1) per Joomla 3.6 ed un Gestione Magazzino

Offline hyrion

  • Esploratore
  • **
  • Post: 89
    • Mostra profilo
Re:Sito web bersaglio hack/spam con joomla 3.8.1
« Risposta #10 il: 24 Ott 2017, 09:40:09 »
si ma dicono che sia colpa di joomla non che è colpa loro  :(


infatti appena ricarico il backup torna tutto a posto...

Offline matty80

  • Global Moderator
  • Instancabile
  • ********
  • Post: 3616
  • Sesso: Maschio
    • Mostra profilo
    • ASAO Calcio
Re:Sito web bersaglio hack/spam con joomla 3.8.1
« Risposta #11 il: 24 Ott 2017, 09:51:58 »
si ma dicono che sia colpa di joomla non che è colpa loro  :(


infatti appena ricarico il backup torna tutto a posto...


Ciao Hyrion,


quella di dare la colpa a qualcun'altro di questi tempi è ormai una prassi consolidata.
Per ovvie ragioni non conosco i discorsi scambiati con questi signori ma se quello che dici quache post sopra a questo la loro è una ammissione di colpa da non poco.


Ovviamente se tu ricarichi un backup "pulito" il sito torna a funzionare ma essendoci una falla i malintenzionati tornano e il problema ti si ripropone.


consiglio? cambia hosting.
Chi non ha mai posseduto un cane, non sa cosa significhi essere amato. Arthur Schopenhauer

Offline Alex21

  • Appassionato
  • ***
  • Post: 498
    • Mostra profilo
    • servizi web
Re:Sito web bersaglio hack/spam con joomla 3.8.1
« Risposta #12 il: 24 Ott 2017, 10:55:38 »
si ma dicono che sia colpa di joomla non che è colpa loro  :(


infatti appena ricarico il backup torna tutto a posto...
E' colpa di joomla come di wordpress piuttosto che drupal come di qualsiasi altra cosa che ci sia.
Il discorso aiuta poco perché internet è per nulla comprensiva. Anche un intero datacenter può finire nella lista nera ...
Però non capisco come mai riesci ad inviare ancora mail. Visto che il tuo dominio è compromesso dovrebbero aver disabilitato la funzione mail, o per lo meno fortemente limitata. Almeno fino a quando non hai sistemato tutto e da te non parte più spam.
Ciao!

Offline martinlovek

  • Nuovo arrivato
  • *
  • Post: 1
    • Mostra profilo
    • Infowebhosting
Re:Sito web bersaglio hack/spam con joomla 3.8.1
« Risposta #13 il: 11 Nov 2017, 01:27:01 »
Ti consiglio di cambiare hosting anche io.

 

Torna su